Kaspersky Unified Monitoring and Analysis Platform
3.2
Русский

Содержание

Создание инцидента

Чтобы создать инцидент:

  1. Откройте веб-интерфейс KUMA и выберите раздел Инциденты.
  2. Нажмите Создать инцидент.

    Откроется окно создания инцидента.

  3. Заполните обязательные параметры инцидента:
    • В поле Название введите название инцидента. Название должно содержать от 1 до 128 символов в кодировке Unicode.
    • В раскрывающемся списке Тенант выберите тенант, которому принадлежит создаваемый инцидент.
  4. При необходимости укажите другие параметры инцидента:
    • В раскрывающемся списке Уровень важности выберите степень угрозы, которую представляет инцидент. Доступные значения: Низкий, Средний, Высокий, Критический.
    • В полях Появление первого события и Появление последнего события укажите временной диапазон, в котором были получены события, относящиеся к инциденту.
    • В раскрывающихся списках Категория инцидента и Тип инцидента выберите категорию и тип инцидента. Доступные типы инцидента зависят от выбранной категории.
    • Добавьте Описание инцидента. Описание должно содержать не более 256 символов в кодировке Unicode.
    • В раскрывающемся списке Доступные тенанты выберите тенанты, алерты которых можно будет привязывать к инциденту автоматически.
    • В разделе Связанные алерты добавьте алерты, относящиеся к инциденту.

      Привязка алертов к инцидентам

      Чтобы привязать алерт к инциденту:

      1. В разделе Связанные алерты окна инцидента нажмите Привязать.

        Откроется окно со списком непривязанных к инцидентам обнаружений.

      2. Выберите требуемые алерты.

        Алерты можно искать по пользователям, активам, тенантам и корреляционным правилам с помощью регулярных выражений PCRE.

      3. Нажмите Привязать.

      Алерты связаны с инцидентом и отображаются в разделе Связанные алерты.

      Чтобы отвязать алерты от инцидента:

      1. Выберите нужные алерты в разделе Связанные алерты и нажмите на кнопку Отвязать.
      2. Нажмите Сохранить.

      Алерты отвязаны от инцидента. Также алерт можно отвязать от инцидента в окне алерта с помощью кнопки Отвязать.

    • В разделе Связанные активы добавьте активы, относящиеся к инциденту.

      Привязка активов к инцидентам

      Чтобы привязать актив к инциденту:

      1. В разделе Связанные активы окна инцидента нажмите Привязать.

        Откроется окно со списком активов.

      2. Выберите нужные активы.

        Активы можно искать с помощью поля Поиск.

      3. Нажмите Привязать.

      Активы связаны с инцидентом и отображаются в разделе Связанные активы.

      Чтобы отвязать активы от инцидента:

      1. Выберите нужные активы в разделе Связанные активы и нажмите на кнопку Отвязать.
      2. Нажмите Сохранить.

      Активы отвязаны от инцидента.

    • В разделе Связанные пользователи добавьте пользователей, относящихся к инциденту.

      Привязка пользователей к инцидентам

      Чтобы привязать пользователя к инциденту:

      1. В разделе Связанные пользователи окна инцидента нажмите Привязать.

        Откроется окно со списком пользователей.

      2. Выберите нужных пользователей.

        Пользователей можно искать с помощью поля Поиск.

      3. Нажмите Привязать.

      Пользователи связаны с инцидентом и отображаются в разделе Связанные пользователи.

      Чтобы отвязать пользователей от инцидента:

      1. Выберите нужных пользователей в разделе Связанные пользователи и нажмите на кнопку Отвязать.
      2. Нажмите Сохранить.

      Пользователи отвязаны от инцидента.

    • Добавьте Комментарий к инциденту.
  5. Нажмите Сохранить.

Инцидент создан.

В начало
[Topic 220361]